Mitä kyberturvallisuusvaatimuksia koneasetus 2023/1230 asettaa koneille?

Koneiden digitalisoituminen on muuttanut teollisuuden toimintaympäristöä perusteellisesti. Nykyaikaiset koneet ovat yhteydessä verkkoihin, niitä ohjataan langattomasti ja niiden ohjelmistot päivittyvät etänä. Tämä kehitys tuo mukanaan aivan uudenlaisia turvallisuusriskejä, joihin vanha konedirektiivi ei osannut varautua. Uusi koneasetus 2023/1230 vastaa tähän haasteeseen tuomalla kyberturvallisuusvaatimukset osaksi koneturvallisuuden ytimessä olevaa sääntelyä. Tässä artikkelissa käymme läpi, mitä nämä vaatimukset tarkoittavat käytännössä ja miten niihin voi valmistautua.

Mitä kyberturvallisuusvaatimuksia koneasetus 2023/1230 sisältää?

Koneasetus 2023/1230 toi ensimmäistä kertaa EU:n koneiden turvallisuussääntelyyn selkeät kyberturvallisuusvelvoitteet. Keskeisimmät vaatimukset löytyvät asetuksen liitteen III olennaisista turvallisuusvaatimuksista, erityisesti kohdasta 1.1.9, joka käsittelee suojausta tietojen turmeltumista vastaan.

Käytännössä koneasetuksen kyberturvallisuusvaatimukset kattavat seuraavat osa-alueet:

  • Suojaus tietojen turmeltumista vastaan (kohta 1.1.9): Koneen on oltava suunniteltu siten, että haitalliset tai tahattomat muutokset ohjelmistoon tai dataan eivät vaaranna turvallisuutta.
  • Turvallisuusohjelmistojen jäljitysloki: Turvallisuuteen liittyvistä ohjelmistomuutoksista on pidettävä lokia, joka säilytetään vähintään viisi vuotta.
  • Ohjelmistoversioiden tunnistettavuus: Koneessa käytettävien ohjelmistoversioiden on oltava selkeästi tunnistettavissa ja jäljitettävissä.
  • Langattoman ohjauksen vikasietoisuus: Langattomia ohjausjärjestelmiä käyttävien koneiden on kyettävä toimimaan turvallisesti myös yhteyden katketessa tai häiriintyessä.
  • Tietoliikenneverkon häiriöiden huomiointi: Suunnittelussa on otettava huomioon verkkoympäristön epävarmuudet ja varmistettava, että häiriöt eivät johda vaaratilanteisiin.

Lisäksi koneasetuksella on yhteys EU:n laajempaan kyberturvallisuuskehikkoon. Nemkon asiantuntija-analyysin mukaan koneasetus kytkeytyy EU:n kyberturvallisuusasetukseen 2024/2847, mikä tarkoittaa, että koneiden kyberturvallisuutta arvioidaan yhä kokonaisvaltaisemmin osana eurooppalaista tuotesääntelyä.

Miksi kyberturvallisuus on nyt osa koneiden turvallisuusvaatimuksia?

Vanha konedirektiivi 2006/42/EY laadittiin aikana, jolloin koneet olivat pääosin mekaanisia laitteita ilman verkkoyhteyksiä. Kyberturvallisuus ei ollut relevantti kysymys, koska koneet toimivat suljetuissa ympäristöissä ilman ulkoisia tietoliikenneyhteyksiä.

Tilanne on muuttunut täysin. Teollisuuden digitalisaatio, teollinen internet of things ja etävalvontajärjestelmät ovat tehneet koneista verkkoon kytkettyjä laitteita. Tämä tarkoittaa, että ohjelmistohaavoittuvuus tai kyberhyökkäys voi johtaa suoraan fyysiseen vaaraan. Koneen ohjausjärjestelmän kaappaaminen voi aiheuttaa saman vahingon kuin mekaaninen vika, mutta uhka tulee nyt digitaalisesta maailmasta.

Lainsäätäjät tunnistivat tämän riskin ja sisällyttivät kyberturvallisuusvaatimukset koneasetukseen vastauksena todelliseen turvallisuusaukkoon. Kyse ei ole pelkästä byrokratiasta, vaan aidosta pyrkimyksestä varmistaa, että koneet ovat turvallisia myös digitaalisessa toimintaympäristössä.

Mitä koneita koneasetuksen kyberturvallisuusvaatimukset koskevat?

Koneasetus 2023/1230 koskee lähtökohtaisesti kaikkia asetuksen soveltamisalaan kuuluvia koneita, mutta kyberturvallisuusvaatimukset ovat erityisen merkityksellisiä koneille, joissa on:

  • Langattomia ohjausjärjestelmiä tai etäkäyttömahdollisuus
  • Verkkoyhteys tai tiedonsiirtorajapinta ulkoisiin järjestelmiin
  • Turvallisuuteen vaikuttavia ohjelmistoja tai automaatiologiikkaa
  • Päivitysmahdollisuus ohjelmistolle käytön aikana

Käytännössä tämä kattaa suuren osan nykyaikaisista teollisuuskoneista. Esimerkiksi merialan laitteistot, mineraalinkäsittelykoneet ja kivenmurskaimet, joissa Enginery tyypillisesti toimii, sisältävät yhä useammin digitaalisia ohjausjärjestelmiä, joihin vaatimukset soveltuvat.

Miten koneasetuksen kyberturvallisuusvaatimukset täytetään käytännössä?

Vaatimusten täyttäminen edellyttää systemaattista lähestymistapaa jo suunnitteluvaiheessa. Interteksin käytännön ohjeiden mukaan valmistautuminen kannattaa aloittaa riskiarvioinnista, jossa tunnistetaan kyberturvallisuuteen liittyvät uhat osana koneen kokonaisriskianalyysia.

Konkreettisia toimenpiteitä ovat muun muassa:

  1. Kyberturvallisuusriskiarviointi: Tunnistetaan koneen digitaaliset rajapinnat ja arvioidaan niihin kohdistuvat uhat.
  2. Suojausmekanismien suunnittelu: Toteutetaan tekniset suojaustoimenpiteet, kuten pääsynhallinta, tiedon eheyden varmistaminen ja häiriönsietokyky.
  3. Lokijärjestelmän rakentaminen: Varmistetaan, että turvallisuusohjelmistojen muutokset kirjataan automaattisesti ja lokitiedot säilytetään vaaditut viisi vuotta.
  4. Ohjelmistoversioiden hallinta: Otetaan käyttöön selkeä versionhallintakäytäntö, joka mahdollistaa asennetun ohjelmiston tunnistamisen milloin tahansa.
  5. Langattoman ohjauksen fail-safe-toiminnot: Suunnitellaan järjestelmä siten, että yhteyden katkeaminen johtaa turvalliseen tilaan, ei vaaratilanteeseen.

Meillä sähkösuunnittelussa huomioimme ohjausjärjestelmien tietoliikenneyhteydet ja niiden turvallisuusvaatimukset jo projektin alkuvaiheessa, jolloin kyberturvallisuus integroituu luontevaksi osaksi kokonaissuunnittelua.

Miten koneasetus 2023/1230 eroaa aiemmasta konedirektiivistä kyberturvallisuuden osalta?

Vanhan konedirektiivin 2006/42/EY ja uuden koneasetuksen 2023/1230 ero kyberturvallisuuden osalta on merkittävä. Konedirektiivi ei sisältänyt lainkaan kyberturvallisuusvaatimuksia. Turvallisuusajattelu keskittyi mekaanisiin, sähköisiin ja pneumaattisiin riskeihin, ja ohjelmistot mainittiin vain pintapuolisesti.

Koneasetus muuttaa tämän perusteellisesti:

  • Kyberturvallisuus on nyt olennainen turvallisuusvaatimus, ei valinnainen lisä
  • Riskiarvioinnissa on huomioitava digitaaliset uhat mekaanisten riskien rinnalla
  • Dokumentaatiovaatimukset laajenevat kattamaan ohjelmistoversiot ja muutoslokit
  • Valmistajan vastuu ulottuu myös ohjelmistopäivityksiin koneen elinkaaren aikana

Tämä tarkoittaa, että pelkästään vanhan konedirektiivin mukaisesti suunnitellut prosessit eivät enää riitä. Suunnittelukäytäntöjä on päivitettävä vastaamaan uuden asetuksen vaatimuksia.

Mitä seurauksia kyberturvallisuusvaatimusten laiminlyönnistä voi tulla?

Koneasetus on EU-asetus, joka on suoraan sovellettavaa lainsäädäntöä kaikissa jäsenmaissa. Vaatimusten laiminlyönnillä voi olla vakavia seurauksia:

  • CE-merkinnän menetys: Kone ei täytä olennaisia turvallisuusvaatimuksia, jolloin CE-merkintä on laiton ja markkinoille saattaminen kielletty.
  • Markkinoilta poistaminen: Viranomaiset voivat määrätä tuotteen poistettavaksi markkinoilta, jos vaatimukset eivät täyty.
  • Vahingonkorvausvastuu: Jos kyberturvallisuuspuute johtaa onnettomuuteen, valmistajan vastuu on merkittävä.
  • Mainevahinko: Turvallisuuspuutteet voivat vaurioittaa yrityksen mainetta pitkäaikaisesti asiakkaiden ja kumppaneiden silmissä.

Koneasetus tulee täysimääräisesti sovellettavaksi 20. tammikuuta 2027. Valmistautumisaikaa on vielä, mutta suunnitteluprojektit, jotka käynnistetään nyt vuonna 2026, on jo toteutettava uuden asetuksen vaatimusten mukaisesti.

Meillä automaatiosuunnittelussa autamme asiakkaitamme rakentamaan turvallisuusohjelmistot ja lokijärjestelmät tavalla, joka täyttää koneasetuksen vaatimukset alusta alkaen. Jos haluat varmistaa, että projektisi on vaatimustenmukainen, ota meihin yhteyttä ja käydään yhdessä läpi, mitä koneasetus tarkoittaa juuri teidän koneidenne kohdalla.

Aiheeseen liittyvät artikkelit